✨︎ Resumen (TL;DR):
- ShinyHunters publicó la base de datos de la Versión 5 del foro, exponiendo correos, usuarios y contraseñas.
- El ataque vulneró 339,800 cuentas únicas de cibercriminales registradas en Have I Been Pwned.
- El colectivo amenazó con liberar mensajes privados y direcciones IP si continúan operando foros de imitación.
El colectivo de hackers ShinyHunters filtró públicamente la base de datos de BreachForums. El ataque expuso información personal de 339,800 cuentas debido a la frustración del grupo con los operadores ilegítimos que revivieron el sitio tras ser desmantelado por el FBI.
La plataforma Have I Been Pwned confirmó el 27 de marzo de 2026 la integración de estos registros. Los datos robados de la “Versión 5” del foro incluyen direcciones de correo electrónico, nombres de usuario y hashes de contraseñas tipo Argon2.
El servicio de rastreo ransomware.live y múltiples investigadores de ciberseguridad detectaron inicialmente la brecha el 26 de marzo. ShinyHunters justificó la publicación como una represalia directa contra quienes intentan operar imitaciones del foro.
Esta filtración ocurre tras las incautaciones de dominios por parte del FBI y autoridades internacionales en octubre de 2025. La persecución policial tiene un historial extenso, con el arresto del fundador original Conor Brian Fitzpatrick en 2023 y la detención de miembros de ShinyHunters por la policía francesa en junio de 2025.
La crisis de confianza y las nuevas amenazas
Los atacantes advirtieron que tienen más información en su poder. Amenazaron con publicar datos internos críticos, como mensajes privados, direcciones IP y copias de seguridad completas, si continúan apareciendo foros falsos.
BreachForums es un mercado negro digital que permite a los delincuentes comprar y vender información robada. Sin embargo, su credibilidad está en caída libre entre sus propios usuarios.
En marzo de 2026, el Cyber Counter-Intelligence Threat Investigation Consortium (CCITIC) logró desconectar el foro mediante reportes de abuso ante su proveedor de hosting, DigitalOcean.
Tras descubrir que los servidores operaban desde Frankfurt, el administrador actual, conocido como “N/A”, anunció su renuncia y la búsqueda de un nuevo líder para la plataforma.
“El ecosistema se está fracturando y la confianza entre los actores de amenazas está colapsando”, señaló el CCITIC en un comunicado.
Esta fuga de información es independiente de la ocurrida en enero de 2026, cuando un usuario bajo el seudónimo “James” publicó registros de 324,000 usuarios de una iteración anterior del foro. La empresa Resecurity confirmó que muchos de esos registros eran auténticos.
Para los miles de atacantes cibernéticos expuestos, la plataforma que utilizaban para comercializar bases de datos robadas se convirtió en su principal punto de vulnerabilidad, facilitando a las autoridades la identificación de sus operaciones.
